Protezione dei dati dei clienti. Principi introdotti dal GDPR. Cosa deve fare l’azienda.
Principi e novità introdotti dal GDPR
L’entrata in vigore del GDPR ha reso ancora più fondamentale per le aziende salvaguardare la protezione dei dati dei loro clienti – e più in generale di tutti gli stakeholders aziendali – in ogni momento, informandoli puntualmente su come i loro dati sono utilizzati e condivisi.
Il principio più importante del nuovo GDPR è l’accountability (o responsabilizzazione) per tutte le fasi del trattamento; ciò comporta l’adozione di strumenti e soluzioni atte a garantire non solo la protezione dei dati, ma anche il controllo, la verifica e l’analisi delle procedure.
Il GDPR introduce altri due importanti principi:
- privacy by design: qualunque attività e processo aziendale vanno concepiti e realizzati pensando a come garantire la riservatezza e la protezione dei dati personali, individuando a monte eventuali rischi privacy;
- privacy by default: le aziende devono trattare i dati personali solo nella misura necessaria per le finalità previste e per il tempo strettamente necessario a questi fini.
Le singole aziende devono provvedere a tutelare i propri dati personali non affidandosi a standard fissi e unici per qualsiasi impresa, attività o processo aziendale, ma devono essere considerate le specificità aziendali.
La privacy aziendale deve guardare alla prevenzione, al rispetto, alla tutela della privacy come impostazione di base per ogni processo aziendale, con una totale trasparenza dei dati e protezione per tutto il loro ciclo vitale e per tutta la filiera.
Le modalità di raccolta dati devono essere sempre esplicitate, così come le finalità per ciascun dato, quali soggetti sono autorizzati ad accedervi e quali misure sono poste in essere per proteggerli.
I nuovi obblighi legati al GDPR possano impattare positivamente sulle attività legate al proprio business, le aziende quindi devono mettere al sicuro i dati sensibili, verificare la correttezza di tutte le informative sulla privacy e i vari processi di accesso ai dati.
Le aziende devono investire in tecnologia e porre in essere comportamenti diretti ad ottenere la certezza di aver messo in sicurezza i dati, le applicazioni, i sistemi, le reti e gli utenti.
L’azienda deve prima di tutto capire che tipo di dati personali tratta o sono in suo possesso, deve diventare consapevole della tipologia di informazione che può trattare, come raccogliere e conservare i dati stessi, chi ne ha accesso e come vengono protetti.
Successivamente si dovrà passare all’analisi dei rischi, individuando quali minacce corrono i dati che sono trattati dall’azienda, come si possono proteggere, quali pericoli corre l’interessato in caso di non adeguata protezione.
Per aziende che trattano una grande quantità di dati o per realtà che trattano dati particolari, si deve adottare il Privacy impact assessment o Valutazione Rischio d’impatto che ha lo scopo di stabilire in anticipo quali rischi ci possono essere nel trattamento dei dati nel particolare business specifico e quali misure sono messe in campo per ridurre al minimo i rischi.
Solo una volta terminata quest’analisi si possono determinare le responsabilità in qualità di titolare o responsabile dei dati.
L’azienda, per poter trattare i dati anche per finalità che esulano dagli obblighi legislativi e contrattuali tra le parti, deve ottenere il consenso libero specifico e informato.
Il GDPR ha stabilito quali tipologie d’informazioni minime devono essere fornite al soggetto per poter ottenere il suo consenso al trattamento, quali: identità del titolare, scopo delle operazioni di trattamento per le quali è richiesto il consenso, tipo di dati raccolti e trattati, esistenza del diritto di revoca del consenso, uso dei dati per le decisioni basate su elaborazione automatica (inclusa profilazione).
Le novità introdotte dal GDPR quindi comportano l’aggiornamento e l’adattamento alla nuova disciplina per quanto riguarda la modulistica che deve essere utilizzata per il trattamento dei dati in tutti i rapporti con gli interessati.
Cosa debbono fare le piccole imprese?
Il GDPR stabilisce una serie di adempimenti che anche le piccole aziende devono rispettare.
Anche una piccola azienda dovrebbe individuare la figura che si occupi della privacy e di tutti gli adeguamenti.
Molte prescrizioni del GDPR dipendono dal tipo di attività svolta, ma soprattutto dalla tipologia dei dati con cui si entra in contatto; ecco che le piccole imprese, così come le grandi, devono fare innanzitutto una valutazione dei rischi per la tutela dei dati personali derivanti dalla propria attività.
Le piccole imprese dovrebbero: controllare pienamente l’accesso ai dati, identificare chiaramente i dati personali gestiti ad esempio, con accesso immediato, profilazione, norme di sicurezza a favore della tutela dei dati
Inoltre dovrebbero avere delle strategie di protezione dei dati, come ad esempio rendere anonimi i record e utilizzare la crittografia.
Infine prevedere il controllo delle procedure applicate, con reportistica interna, verifiche, gestione proattiva del rapporto con gli utenti.
Tutto questo va riportato in un Registro delle Attività di Trattamento dei dati, in cui appunto sono spiegate tutte le procedure, le finalità, i software utilizzati, le persone coinvolte, le responsabilità, le misure di sicurezza previste nella gestione dei dati personali trattati.
Si tratta di uno strumento molto utile anche per monitorare e tenere a mente le principali attività rilevanti ai fini della privacy.
In una struttura piccola e che non fa particolari trattamenti, a meno che il trattamento dei dati non sia occasionale, bisogna quindi tenere anche il registro dei trattamenti.
Nel caso di piccole aziende, che svolgono pochi trattamenti dei dati personali, di solito le informative vanno consegnate comunque ai fornitori di beni e/o servizi, ai dipendenti, ai collaboratori e ai consulenti.
All’interno delle piccole aziende dovrà sempre esserci il titolare: ossia il soggetto che decide le finalità e le modalità di trattamento dei dati, e sarà necessario sottoscrivere gli accordi di nomina del responsabile del trattamento.
Può accadere poi che un soggetto terzo debba trattare dei dati personali di cui la piccola azienda è titolare per conto dell’azienda stessa.
Classico esempio è la piccola azienda che si rivolge al consulente del lavoro (commercialista) esterno per redigere le buste paga dei suoi dipendenti, allo stesso modo dovrà nominare i dipendenti che trattano i dati personali per conto del titolare persone autorizzate al trattamento.
Ancora se l’azienda ha un sito web, dovrà essere prevista un’informativa privacy sull’uso dei dati di navigazione nel sito e sui cookies; se l’azienda ha un circuito di videosorveglianza dovrà redigere un’informativa privacy per i soggetti che potrebbero essere ripresi dalla videocamera.
In definitiva le piccole e medie imprese devono:
- progettare la Privacy dei dati fin dalle prime fasi di disegno dei processi e delle architetture legate alla Sicurezza;
- redigere un registro dei trattamenti delle informazioni e garantire la sicurezza dei dati trattati;
- saper gestire eventuali data breach;
- informare e raccogliere il consenso al trattamento dei dati di clienti, fornitori e collaboratori;
- nominare i soggetti autorizzati a determinati trattamenti.
Altre informazioni su questo argomento?
Contatta l’Avv. Francesco Nepi
347/5741872-mail:Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.
